Vídeo: [CYBER SECURITY] O que são Trojans (Cavalos de Tróia) ? (Novembro 2024)
O SecurityWatch não é estranho a malwares móveis, ataques a redes de bots e cavalos de Troia bancários, mas a maioria das pessoas só tem um entendimento obscuro de como esses três se combinam. Quais são algumas das maiores ameaças aos serviços bancários móveis que afetam os usuários atualmente?
Com milhares de amostras de malware exclusivas sendo criadas todos os dias, é fácil esquecer que muitas delas são variantes de malware existente em estado selvagem. Os pesquisadores os agrupam em famílias de malware para acompanhar como eles evoluem. Espionar as famílias de malware móvel parecia cair na proverbial toca de coelho. Onde é que vamos a seguir? Pedimos à empresa de inteligência da Web Recorded Future para nos ajudar.
O Recorded Future oferece uma plataforma de inteligência na Web que analisa informações coletadas de uma ampla variedade de fontes para vincular informações relacionadas e encontrar padrões. As infecções por malware tendem a ser repetitivas, pois se espalham por milhares e milhões de computadores, facilitando a previsão e o rastreamento, disse à Security Watch Chris Ahlberg, fundador da Record Future.
A Velha Guarda
Se houvesse um concurso de perguntas e respostas e surgisse uma pergunta sobre os três maiores cavalos de Troia de banco móvel, a equipe do Security Watch seria capaz de recitar facilmente os nomes Zeus, SpyEye e Carberp. Zeus, o avô dos Trojans bancários, apareceu pela primeira vez em 2006 e pulou para a plataforma móvel em 2010. Houve variantes do Zitmo (Zeus-in-the-mobile) para vários sistemas operacionais móveis - não se limita apenas ao Android.
O que é notável em Zeus é que, embora o criador atual, conhecido apenas como "Slavik", tenha se aposentado há alguns anos, ele permanece altamente ativo porque outros criminosos continuaram a refinar o malware para ser mais resiliente à aplicação da lei e defesas de segurança.
O SpyEye entrou em cena em 2009 como um rival do Zeus e, em 2010, havia ultrapassado o Trojan bancário mais antigo na quantidade de danos que causou. O SpyEye tinha uma interface amigável, era atualizado regularmente e era vendido no mercado negro com preços variando de US $ 1.000 a US $ 8.500. O elemento móvel apareceu em janeiro de 2011.
Acredita-se que o SpyEye seja um dos tipos de malware mais bem-sucedidos da história, o que é bastante impressionante, considerando que o FBI acredita que o software foi vendido para apenas 150 indivíduos. Um cliente, conhecido como Soldier, roubou US $ 3, 2 milhões em apenas seis meses.
A história do SpyEye pode estar chegando ao fim, já que o mentor por trás do SpyEye, Aleksandr Andreevich Panin, se declarou culpado de conspiração para cometer uma fraude de fio e banda recentemente e está programado para ser sentenciado em 29 de abril. Especialistas acreditam que, ao contrário de Zeus, que continua a melhorar e evoluir mesmo sem o criador original no comando, o SpyEye desaparecerá e outros cavalos de Troia bancários tomarão seu lugar.
Evolução do malware
A gangue por trás do Carberp iniciou suas operações em 2009, mas na verdade não passou para o setor móvel até 2012, quando pesquisadores descobriram componentes maliciosos do Android que se disfarçavam de aplicativos bancários móveis dos dois maiores bancos da Rússia, Sberbank e Alfa-Bank. O Trojan Carberp teve como alvo vítimas na Rússia, Ucrânia, Bielorrússia, Cazaquistão e Moldávia.
Embora o suposto líder da quadrilha, 20 supostos desenvolvedores e oito outros indivíduos associados ao Carberp tenham sido presos pelas autoridades russas e ucranianas, a história do Carberp não acabou, pois o código-fonte do Carberp vazou em 2013. Assim como Zeus, qualquer pessoa agora pode modificar o Carberp. É possível que, enquanto Carberp tenha ficado originalmente na Rússia e nas antigas repúblicas soviéticas, novas variantes possam aparecer na Europa, Estados Unidos ou América Latina.
Os Trojans iniciantes
Hesperbot e Qadar são os novos filhos do malware bancário. Ambos descobertos em 2013, estão ocupados na Europa, Ásia e Austrália. Os pesquisadores tomaram conhecimento do Hesperbot em 2013, primeiro na Turquia e depois na Tchecoslováquia. O Hesperbot possui funcionalidades semelhantes às do SpyEye e Zeus, além de truques mais avançados, como a capacidade de criar um servidor VNC oculto no sistema infectado para acesso remoto.
Os dados mostram que se espalhou da Turquia para Portugal e o resto da Europa. Houve relatos de infecções na Austrália apenas neste mês. O Hesperbot se espalha usando uma técnica bastante comum (mas eficaz!): E-mails de phishing mascarados como mensagens de serviços postais. As vítimas são levadas a instalar o conta-gotas Hesperbot.
O gráfico do Qadar é relativamente baixo, mas já está ativo na Holanda, França, Canadá, Índia, Austrália e Itália. Como o Zeus, ele conta com um ataque do tipo man-in-the-browser para injetar campos e outros elementos da página nas páginas HTML. Os usuários são induzidos a fornecer informações confidenciais, como credenciais de banco móvel, ou são exibidas páginas diferentes para ocultar transações bancárias fraudulentas.
Os cavalos de Tróia do setor bancário móvel são muito ativos, visando dispositivos de usuários para obter acesso às suas contas bancárias. Assim como protege seus PCs para evitar infecções por malware, tenha cuidado com o que faz com seus dispositivos móveis. Tenha cuidado com os aplicativos que você está baixando e fique atento a mensagens SMS ou e-mail suspeitas, solicitando informações pessoais. Você também pode conferir nossa análise de aplicativos ruins toda semana na Mobile Threat Monday.